Является ли это хорошим решением для частной передачи и защиты данных?

Question

Я хочу построить частную схему передачи и защиты данных для входа пользователя на мой сайт. Частные данные, которые я хочу защитить, - это идентификатор пользователя и пароль.

Мои требования к этой схеме включают: Безопасная передача данных (без SSL, TCL), высоко безопасное хранение (один раз потерять пароль, данные становятся своего рода неисправимая)

я подготовил один перечисленных ниже:

1. RSA (шифрование и дешифрование на клиентских и серверных сайтах, соответственно) Подробно я планирую использовать Javascript для шифрования идентификатора пользователя и пароля на клиентском сайте и PHP для создания закрытых открытых ключей & и расшифровки полученного шифрованного текста на сайт сервера.

2. SHA256/SHA512/Twice MD5 (на сайте сервера, шифрование с использованием случайных соли, который велено с идентификатором пользователя) Использование PHP для повторного шифрования обычный пароль с помощью алгоритма SHA256 со связывающим идентификатор пользователя соли.

Является ли это хорошим решением для удовлетворения моих требований? благодаря

Answer 1

Лучший способ убедиться, что ваш пароль не может быть перехвачен, IST не передавать его: Это намного проще, чем можно было бы подумать:

• На стороне сервера, складировать passowrds соленая и hashed (Есть тысячи статей о том, как это сделать должным образом)
• Когда пользователь на клиенте входит в систему, он вводит имя пользователя и пароль
• С именем пользователя запросите соль с сервера (например, через AJAX). Это не проблема безопасности, так как соль не секретна. В этом же ответе отправьте отметку времени сервера.
• На клиенте создается соленый хеш, это приводит к тайне, которую знают обе стороны, даже если она никогда не пересекала провод. Оставь это.
• Используйте временную метку сервера и локальное время клиента, чтобы рассчитать смещение по времени и сохранить его - вам понадобится его, чтобы избежать атак повтора.
• Теперь вы можете использовать этот секретный (хэш-файл соленых паролей) и метку времени, чтобы надежно передавать все, что вы хотите: для запроса солить кассу с меткой времени с исправлением коррекции и некоторой энтропией, хэш снова. Используйте это как ключ для шифрования (AES приходит на ум) ваше сообщение на сервер, отправка метки времени и случайной соли по адресу
• На сервере отбрасываются отметки времени, превышающие несколько секунд, для безопасного повторного воспроизведения
• На сервере используется обеспечивают временную метку и соль, чтобы воссоздать ключ для этого сообщения

Crypto-JS имеет части JS вам нужно

Answer 2

и плохие новости для нас :(RSA 1024 бит был крекинг в 100 часов! Вот статья:

1024-bit RSA encryption cracked by carefully starving CPU of electricity